51CTO直播小组: 2014乌云安全峰会即将开幕,敬请期待!
51CTO直播小组: 2014乌云安全峰会即将开始,敬请期待!
主持人: 我叫肉肉,我和大家一样,也是乌云的白帽子。我是第一次做主持,所以你们不要对我要求太高。首先,感谢大家对乌云峰会的支持,这是乌云第一次举办大型活动,之前有很多,我听多很多小伙伴问乌云怎么没有线下活动?因为太忙了嘛。
主持人: 这是第一次,以后会经常有的。因为是第一次活动,虽然很用心地去准备,但是没有经验,时间上面可能有些匆忙,所以准备的可能还有点不足,还望大家多谅解。这样的情况下,我知道白帽子是赠票活动,虽然要求高,但是很值,因为咱们门票在一周时间抢购一空。
主持人: 今天到场的应该是三百多人,有一百多个人是专门从外地赶过来的,经常有人给我晒机票、门票的。我在这里代表乌云对各位的到来表示热烈的欢迎。
主持人: 感谢大家,这次峰会没有安排任何商业化议题,这是对大家的尊重,我们这次的议题有十一个,可能你会听到很多干货,这次以有第一次登台演讲的嘉宾,我相信他们的表现不会让你们失望的。
主持人: 因为有很多人想要过来,但是因为没有票,所以很遗憾,不过我们也准备了互动屏,不管在场内还是场外都可以参与的,地址在屏幕上面,可以通过手机和电脑访问。
主持人: 在会议开始之前我得提醒大家一下,这是黑客的聚会,大家知道黑客的聚会可能有点危险的,我不知道有没有人注意到外面的易拉宝上面写着“熊出没”?估计你们都忽略了,所以今天上网要格外小心一点哦。
主持人: 会议开始前我们先看一个短片。
主持人: 这短片大家应该能看出来,是对乌云的介绍。之前我统计了一下数据,乌云从2012年7月12日有了第一个注册用户,现在白帽子数量是6214个。注册厂商1827个,这一路走来有很多艰辛,感谢大家一路的陪伴。
主持人: 这个短片可能有点太匆忙了,还不能让大家深入地了解乌云,如果想了解乌云,就是在网上活跃一点,还有今天,今天乌云第一运营官疯狗会在接下来的第一个议题中给大家介绍一下乌云,讲讲乌云的成长,还有它一些理念上的,还有从乌云上沉淀出来的东西分享给大家。
主持人: 请大家欢迎乌云主站负责人疯狗。
乌云主站负责人 : 因为肉肉平时跟我们不是这样的,面对我们几个想说什么说什么,但是今天到场嘉宾太多了,看起来非常非常紧张,所以希望大家理解。
乌云主站负责人 : 我也是看到这么多人,非常非常感谢大家。因为我也是参加过这样的会议,感到很正常了,但是我们自己乌云峰会的时候心里倒是很忐忑。
乌云主站负责人 : 今天到场的嘉宾主要是互联网企业,还有互联网媒体,再有就是平台上的白帽子。还有一个特殊的群体,我也是昨天才知道的,还有一个叫白帽子的家长们。
乌云主站负责人 : 现在计算机技术还有网络普及的非常快,很多的学生接触互联网非常非常早的,新一代做安全网络的非常小,还未成年,所以有的小白帽家里不放心,说你自己大老远跑帝都很混乱的地方不放心,所以爸爸妈妈陪着过来了。我想对各位家长说,你们的孩子很优秀,他们也会是中国未来互联网强大核心的力量。
乌云主站负责人 : 大家知道乌云是第三方机构,大家可以看到今天很应景,白帽子会分享安全研究的心得,企业也会分享一些防守防护的经验,也是双方的经验与智慧的碰撞。我也相信今天的白帽子身价也会飙升三倍,企业演讲之后也会吸引有场下白帽子的加入,一切皆有可能。
乌云主站负责人 : 首先我还是自我介绍一下,我的网络ID,也就是乌云上的昵称叫疯狗。这起了很久了,也没什么意义,就是一个代号。我研究安全也是蛮久的了,我有十余年经验。
乌云主站负责人 : 这十余年并不是向大家炫耀我的技术多么多么,而是我真的很热爱这个行业,我相信今天在座的人把网络安全,信息安全目前,或者曾经是自己非常重要的一部分。
乌云主站负责人 : 插一句,除了上面的介绍外,我不知道是不是只有我一个人,我是唯一把乌云公开漏洞的都看了的人。
乌云主站负责人 : 四年前的夏天,几个小伙伴对外正式地公布了乌云漏洞报告平台,黑客圈或者中国安全网络圈有一些老前辈,后来也是找到我们说,其实我们也想做这样的平台,但是被你们先走了一步。这样也就是说乌云或者说第三方漏洞报告平台就是由我们这一帮年轻人营运,担负了很多期望和责任在肩上。
乌云主站负责人 : 今天也希望用你好,路人甲做话题。因为开始登录乌云的时候都没有帐号,在没有获得帐号之前我们都统称为路人甲。所以很多新加入我们都当做路人甲,所以我希望以这样的文化开始今天的简单的乌云的介绍。
乌云主站负责人 : 很多加入乌云的都会误会我们,因为我们是没有甲方工作经验的,就办了这个平台,其实我想说的是我们甲方经验还是很多的,我们在甲方工作了很多年,发现了种种弊端才出来做这个平台的。
乌云主站负责人 : 我们做的过程中发现了什么问题呢?我以前在新浪网工作,除了日常的发掘自己的漏洞,做防御体系等等外,还有一个重要的事情,我相信在座的很多,比如新参与工作的一些安全从业者们是没有经历过的,是什么呢?
乌云主站负责人 : 我们每天还有项重要的工作,就是去看这些白帽子,可能当时叫黑客或者研究者的博客,因为他们会公开一些漏洞信息,而且是在没有修复的情况下,人人看到之后都会去利用。
乌云主站负责人 : 所以我们天天还要扫各种RS,看看大家有没有报告我们的漏洞,报告了赶紧应急。我们觉得这种模式或者现状体现了一个问题,我们深入研究了这些人心理,他们有时候也并不是很恶意的,他们也想说我发现一个问题,我希望反馈给厂商,得到厂商的重视,同时我的技术也在业界得到反响,交更好的朋友,技术得到更好的提升。
乌云主站负责人 : 但是那种环境没有乌云的平台,所以大家选择了这种不太友善的方式,所以我们觉得做乌云的平台,漏洞的信息在它有影响的时候,我们报告给厂商,厂商解决后,我们会公开细节,让你在圈子里能分享你的想法,结交更多的朋友。
乌云主站负责人 : 还有一个,安全群太封闭,大家也知道,安全技术或者说黑客技术稍微走偏一点,可能通过非法手段牟取暴利的方式,一种手段,其实这个不得不承认,现在国内特别特别的普遍。因为它是牟利的手段,攻击者就不希望让其他人跟自己争利,也不希望让企业知道有哪些缺陷,封堵掉,而是长期循环。
乌云主站负责人 : 所以攻击的手段永远走在我们前面,而我们对黑产一无所知。乌云一直强调说我们要把细节公开,其实也是希望让大家看到系统安全到底是什么样子。我们做着做着就发现了很层次的意义,我们发现受益越来越大,我让安全研究人员通过这个平台学到其他人的技术和技能,让安全研究人员互相认识,也能获得更高荣誉的机会,也让企业了解到自己一个真实的安全的现状,同时我们也让普通用户如何才能保护自己,现在的问题都会出现在哪里。
乌云主站负责人 : 所以我们是帮企业完成了正像循环,白帽子提供安全漏洞,企业披露安全问题,用户了解到这些安全问题信息,对企业提出安全需求,企业加强自身的安全建设和重视白帽子价值,更多的白帽子会加入到这么一个流程,让这个循环越走越大,创造更多的价值。
乌云主站负责人 : 刚才肉肉也提到了乌云上有很多很多的企业,我这里简单截取了一些,说明我们乌云为哪些企业提供漏洞信息报告服务的。
乌云主站负责人 : 厂商我只是随便取了一下,乌云第一页、第二页的企业,其实我们覆盖非常非常广,有互联网媒体、网络的金融、电子商务、社交平台、视频分享、移动营运,还有软件开发商,甚至说安全服务商,等等等等,可以说覆盖了整个中国互联网网络,我们就是为这样的企业提供漏洞信息报告的服务。
乌云主站负责人 : 刚才肉肉也说了乌云上有很多厂商,大家现在可以看到的大概有570多家,这些厂商都是我刚才提到的这些性质的企业,还有一些看不到的,它们是地方的信息站点,传统的行业,这些我们就没有去显示。我说这五百家的企业注册是这个数字的三倍。
乌云主站负责人 : 不能说几乎,现在也是已经覆盖了整个中国互联网企业。这是一个活跃的白帽子数量,还有一些白帽子活跃在乌云的其他平台,像内容分享平台上等,实际上注册数量是这个数字的六倍多。
乌云主站负责人 : 而且这些白帽子来源,他们的角色,个人身份都千奇百怪,首先有专业的安全人员,还有学生、医生、博士、教师、安防人员、企业策划等等,他们来自各个领域,但是他们有一个共同点,对安全充满了兴趣,非常非常喜欢,就是这样一批人集中在一起形成了现在乌云白帽子的群体。
乌云主站负责人 : 目前,乌云已经接到了七万五千家的漏洞报告的数量,但是这个数量还在飞速地上涨中,我只是取了一下前阵子我统计出的结果。其实这些漏洞对乌云,对企业,对白帽子来说都是无形的财富,几乎所有都有覆盖,我想不到还有什么没有报告提交的。
乌云主站负责人 : 所以乌云接下来要做的也是积极分析这些漏洞报告中有价值的信息,反馈给各个渠道,像企业、用户,甚至白帽子,媒体,等等等等。
乌云主站负责人 : 大家也会看到过各种各样的漏洞风险的统计图,其实这种也确实很有意义,大家可以从中得到一些辅助的参考作用,乌云的风险统计图是非常非常有价值,它的价值在哪里?它的统计是以实际发生案例统计出来的,并不是我们拍脑袋共享出来的,或者通过数据计算出来,我们就是通过切实发生的案例来统计的。
乌云主站负责人 : 这个风险统计图我们认为是当今互联网一个真正的现状,可以看到前五条基本都是安全运维还有管理上的,最终撞库太多太多,很好地体现,像好莱坞的艳照门,这都能体现出来,这是现在最广也是我们迫切解决的问题。而且安全的影响也从传统的开发者慢慢转移到了安全的运维者和管理者上面,有这么一个转变。
乌云主站负责人 : 乌云在这四年的运营当中也是见过了很多的漏洞,我们也产生了漏洞的 非常中肯的评估方案,这个都在乌云的安全中心,大家可以去查看,这也会是我们今后向外界输出的重点。
乌云主站负责人 : 我们首先认为漏洞有两个方面具体的影响,第一,威胁的角色是谁,一个,难度怎么样,是不是很容易被人重现?说这个世界上一个人能利用,还是世界上一万个人能利用。还有一个,就是数据的影响。
乌云主站负责人 : 就是这个漏洞具体影响到我们业务,比较敏感信息,就是这个数据的范围多大,还有这个系统的重要性,看似很简单,这都是乌云这四年来慢慢沉淀分析下来的,也跟曾经的安全机构、组织所说的理念有不同的地方。
乌云主站负责人 : 我们乌云的想法,我们想把安全圈子变成什么样子?大家都知道有SOHO工作的模式,就是在家里工作,我想我们乌云叫乌HO,我觉得大理非常安逸,空气都很安逸,你稍微积极一些都不被人接受,这是非常舒服的地方,像我真辞去一切,去那儿待一阵子。大家知道这个在国内很不现实,在国内国民生活压力很大的,我们不能放弃一些东西去追寻我们理想国这种状态,所以我们就希望能把乌云,起码在白帽子领域做到什么呢?
乌云主站负责人 : 我们可以游山玩水,去哪里玩儿就去哪里玩儿,没钱了,打开电脑只用不到一个小时的时间,参与了一些项目,可能拿到一个月的开销,我就可以轻轻松松去做一些想要的生活,很理想,但这说明了我们的理想和目的。
乌云主站负责人 : 很多企业跟我们说我们报告平台是被动的搜集平台,但有时候我想主动地杜绝我的信息安全风险,比如一个重要的产品上线,我想主动地知道我面临的风险,并且告知我怎么修复,这就是我们的理念,主动为企业提供安全的服务。
乌云主站负责人 : 另外,也希望给白帽子一个合法收入的机会。因为现在做黑色产业的人非常非常多,他们真想这么做吗?也是被社会,被生活所逼迫。我敢打赌,如果有一个合理的收入,没有人愿意赚这个黑钱。所以我希望这样能让白帽子从一个合理的方向去赚取自己应得的报酬。
乌云主站负责人 : 很多白帽子还会问很多新来或者老白帽,或者还不是白帽子想成为白帽子的,来到乌云能得到什么?
乌云主站负责人 : 我觉得大家可以在上面用一个合法的渠道,能谋取一些合法的收入,同时还能以一个正确的渠道展现自己,也能得到思想比较开放、前卫的企业认可,还可以认识朋友,通过交流得到提升。我们的目标想法就是这么简单,这都是说的很实际的一些。
乌云主站负责人 : 上面我介绍了一下乌云过去、现在、将来的大致方向,接下来我还是把时间交给顶尖的白帽子和企业,让他们来与大家分享。
乌云主站负责人 : 刚才肉肉提到场外有“熊出没注意”的牌子。这个想说,在现在的环境,手机等通信都是不安全的,但是我们通过报道和比较虚的东西让大家看到这个,我们觉得很不可靠,所以我们想在现场做一个互动,让大家亲身参与其中,是怎样的惊心动魄的体验,这样我想大家会更刻骨铭心一些。
乌云主站负责人 : 大家知道海底捞是很著名的火锅饭店,其实一个火锅你一筷子下去也不知道捞出什么,我们“场里捞”其实能捞到什么我也不知道。乌云向大家保证,如果你对测试的行为敏感或者反感,请注意你们的平板电脑、手机之类的不要传递敏感信息。大部分数据我们还是会马赛克给大家盖住的,重在参与。
乌云主站负责人 : 最后,如果在场的嘉宾需要帮助的话,我可以在现场对大家进行支援,也可以在屏幕上反馈一些问题,我们工作人员会帮助大家处理,之后,我们的平时工作交流上的可以通过QQ和邮箱,我主要从事乌云报告平台运维工作。谢谢大家。
主持人: 谢狗哥介绍,听完之后,我相信对乌云不怎么了解的也有了一定的认识,狗哥在上面总结乌云2014风险统计图,现在风险标准挺多,但是最适合咱们的可能还得是从乌云上面沉淀下来的,所以在座的企业朋友也可以回去思考一下,自己什么地方没做好的,还需要再改进一下的。
主持人: 接下来进入正式议题,第一个是关于智能家居的。智能家居我记得提出的时候,就已经在两年前开始提出了,但是真正火起来的话也就是这一段时间,一个东西火起来的时候很多人会好奇,有些人好奇它怎么用,有些人可能想着怎么做,还有的人好奇点就是这个东西安不安全?我们乌云一个小伙伴对智能家居方面很着迷,他就是乌云的白帽子Livers。
Livers: 大家好。第一次和大家见面心情非常紧张,我先说一下我自己。我之前主要专业还是搞Web的,我一直做乙方的工作,大约是两年前,业余的时候开始研究一些可编程的路由器,就一发而不可收拾,特别喜欢智能上的设备,但是研究的也不够多,大家知道后来替补上来的,有一些东西没准备好,时间太匆忙,如果后面有讲的不好的地方,请大家多多谅解。
Livers: 这里先给大家看一个视频,这是一款智能插座,它有一个手机控制单可以控制开关,但是我发现了它的协议,发现里面是有问题的,所以我就用就简单地模拟了一下它的收发,这两个是在同一个网络上的,就是家里远程可以控制我的插座。
Livers: 我先介绍一下背景,可能有些人对智能家居还不是很了解,智能家居很早就进入中国市场了,大约有十年的时间了,但一直不温不火,直到这两年才突然一下子迸发出来,而且出现了不少比较好玩儿的事,以前都是智能家居成套的系统,现在有一些智能家居的单体,像之前出了一些智能路由器,还有一些智能的插座,深受极客的喜爱,销量非常火。
Livers: 但是纵观全局来看,传统的智能家居占有非常大的市场份额,我相信未来肯定会有越来越多的智能家居的产品出现,它形态也会越来越丰富,我也很期待。
Livers: 我简单介绍一下智能家居整体框架,大家可以看到它中间有一个中心的部分,叫中控梯,它相当于枢纽,它控制了视频开关,还有红外的一些装置,还有基于Wifi的装置,它会和路由器进行交互,再通过手机终端或者电脑来控制。
Livers: 但是按照目前的形式,渐渐的觉得中控梯太臃肿,就把中控梯和路由器做到一块,小米马上就上一些,把网关和路由器结合卖的路由器。
Livers: 但是我是觉得,它们太过于追求创新,技术上的一些创新,对于产品的安全性考虑的不太周到,出现了一些安全问题。按照剑心的要求,他让我写一个技术框架,就整理了一套,把之前做的经验整理出来。
Livers: 智能家居,我这边研究的主要是两大块:一块,智能路由器这部分;另一块,智能家居的配件。路由器这部分我主要是从它的固件,Web接口和云端的交互等去研究的,配件我主要分析了它的通信协议,还有客户端,包括它的云端控制,当然,很普通的例子就不讲了,我讲一些我碰到的坑儿,比较好玩儿的事。
Livers: 可能有些智能设备的厂商,防止代码不被外漏,或者保护的作用,它会把自己的固件做加密。这里我看到了360智能路由器,我下载了它的固件,它是加密的,后来找到了它一个非常老的版本,就是未加密的,我把这个版本提取出来,搜索它里面可能很固件更新有关的东西,我发现在它的设计页面里有一个(阿不路)的函数,我反汇编它的程序,它里面硬编码了一个BUS文件,这个BUS文件调用了另外一个,这个BUS调用了解压固件的。
Livers: 我就反汇编这个,大家可以看到图上,有一个非常明显的加密的密钥,其实就是被类似解密出来,可以直接当做AESK传进来,我又跟着程序往下走,发现它又调用了RSA的加密,上面可以看到一个非常大的整数串,这就是RSA的密钥,就是科普一下小知识,片入式的系统,为了更精细化没有采用OPELL,如果对照里面加密库的话,就是参照了IPI。
Livers: 我又顺着程序往下走,把程序完全理出来,它整体就是这样,先读取了128字节,用RSA解密这128字节,剩下的就是用AS,每次循环4096次节,进行解密,前面它会有一个版本限期,我图上标注了,上面13,然后是长度,把这个去掉,然后做RMB5验证,如果相同就刷入固件,如果不相同,就把解密出来的东西删除,这样的话我们就可以完全模拟程序,写一套自己的解密程序,来发现它固件里面的各种问题。
Livers: 另一种比较好玩儿的,就是变形压缩的东西,这里小路路由,我后来又看了一下小路路由,它是内部有一些不常规的压缩,你用普通工具是无法把它踢出来,这就需要用精彩文件分析的功力。当你解到这三层,你会发现它有一个(插队)的压缩包,它以XZ开头,以YZ结尾,你去掉多余的代码才能把它顺利地解压出来。
Livers: 前面我是从软件的部分来讲,像我这样的无业游民,对一些设备不可能花很多的财力去购买,更多的是自己从网上下载一个固件去分析,但是如果你有能力购买一些硬件的话,你会发现硬件的(漏洞)更多。
Livers: 像智能路由器经常用的OTW系统,它本身的串口会够你一个ROOT终端,你直接用TTL转USB,就可以直接控制了你整个的路由器。除了这个串口,还有像GTAK口,这个完全可以调节GPU,像有些不需要加密的,你就可以用GTAK口去破解它的加密,也可以读写它的里面的Flash内容,把文件直接提取出来。当然还有更暴力的,可以直接把Flash拆除下来。
Livers: 说完了固件我再说说接口,之前提路由,在乌云也测过,它里面的版本就是被自身变异了,变的没法儿看,相当于提高了一个难度。从网上搜索也搜索不到任何这种反变异程序。我自己尝试了一下,发现了可以把变异过的程序反变异过来。
Livers: 我看了一下官方的PACH,官方的PACH打的LNO,嵌入式对浮点数的运算非常处理的,所以它本身会把浮点数转换成整形。LUWA本身不到200K,这时候我就把π值π出来,可以反变异出LUWA的代码。后面我会把工具分享给大家。
Livers: 还有比较特殊的情况,有些不是把代码加密,它把代码给隐藏了,这里我看了一下华为的智能路由器,它本身的Web目录是空的,我就觉得很神奇,它怎么没有Web的接口?
Livers: 我提取了它的固件,找到它的Web调用相关的程序,我反变异了它Web,发现的一个很神奇的配置,它里面保存了所有的文件的名称、大小还有偏移,直接从Web值里给提取出来,这样我们就能进行Web上的审计。
Livers: 说到审计,尤其像LUWac这样的程序,可能之前不是经常用,很多程序员在用的时候不太熟悉,往往会犯一些非常低级的错误,像直接读取,加到字符串中直接执行。
Livers: 这里我就把它全部整理了一下,这里就说一下接口认证,它的接口认证比较奇特的,Luwas节点分多层次的,上层节点如果设置了就需要登录验证了,如果没有设置就没有登录验证的环节。
Livers: 如果上层节点设置,下层节点也不会登录验证。还有从弹出声明,官方是四个参数,但是后面加了一个,当有第五个的时候就可以直接访问。
Livers: 后面我又研究了一下其他的,就是前一段时间刚出来的华为荣耀立方,大约这个固件是八月二十几号的版本,我把它提取出来,然后查找里面的问题,我这里碰见了一个非常神奇的地方,在它ETC目录下有一个PPT文件,这个文件可以任意文件上传,我又看了它LAT符,这样的话如果能访问到的话,就可以上传一个,通过系统的命令安装一些APK,可以做一些非常好玩儿的事。
Livers: 对于智能路由器,业内人士的话比较喜欢它的各种APP的插件,也是它的一个比较大的卖点,但是由于这些插件可能是第三方开发的,或者自己又重新做的,所以在一些配置上没有做好处理的。
Livers: 像这个非常常用的一个离线下载的插件,它本身没有登录验证,很多人直接拿来用了,包括一些大的厂商,这样的话如果对外网开放的话,你可以直接远程查勘它下载了什么,你也可以帮它下载一些东西。有的是硬编码直接在里面,也是非常奇葩。
Livers: 前面说了这些路由器可能有密钥执行或者什么,大家可能只知道我能拿到控制权限,但到底我们拿到了它的权限之后,我们能做什么好玩儿的事或者邪恶的事?
Livers: 按照我的经验想了一些,比如你拿到它的权限之后,你可以交叉变异,留一个后门,可以是免登录的SSH,还可以是后门的Web的万能密码,或者是像之前一些路由器的漏洞,把DNS的服务导向一些钓鱼网站,甚至流量去分析偷取一些帐号密码等。
Livers: 前面都是一些传统的想法,当智能路由器和智能家居设备结合的时候,我们就不只可以控制它的路由器,我们还可以控制它的家用设备,比如说攻破对方的安防系统,偷拍声音、图像,或者我们自己搞一些非常有趣的视频,我这里就做了一个视频。
Livers: 前面可以看到我一些东西用了不少的反汇编,现在嵌入式设备基本上都是MIPS构架,这个在网上的资料比较少,所以我总结了一些比较有特点的地方,比如它的寻址,它会有一个GK的计算器,这个是保持静态变量的寻址,本来我也想去搞一些溢出方面的,我发现它的溢出比X86下还要麻烦,X86本身参数可以直接压入对站,MIPS是完全通过计算器完成的,所以调整它的对站相对麻烦一些。
Livers: 前面讲了我对路由器的小小的研究。下面我讲一些智能家居配件协议上的分析。很多传统的智能家居配件会基于315还有433频段,通过262的协议进行传输。如果淘宝去搜一下,几乎80%都是这样的配件,但是这个安全性非常差,算是上时代的产物了。
Livers: 这里我为了让大家看一下,我也做了类似的视频。这里通过手机控制端控制一个遥控门铃,通过控制我的电灯的开关,我自己DIY了一些工具,用了它的收发器,还有发射装置,用PRS的单片写了一些262解码程序,我可以直接SNIF它的信号,然后点击。
Livers: 当然这些东西完全可以用工具直接按,非常简单的完成,但是这个价格不菲,我自己搞了一套,成本大概也就十块钱,就可以直接进行收发,由于低成本的话,这样的话我们就可以做更大范围的事,因为它的传送范围是非常远的,大约有十米左右,所以我可以做很多,放在每个楼层,通过SNIF把抓取的数据存储到单片机里,最终传到我的电脑上,这样的话可以远程控制一栋大楼的智能设备,就是这种比较简单的智能开关。
Livers: 大部分315、433的设备,基本上都是用的262的芯片,它发的基本上都是固定码和硬编码的一些东西。除了315还有433智能家居还常用一些红外,红外就是非常简单的,像控制电视机,空调,但是红外是多信号,无法穿墙,所以它经常做转发,像前面讲的315、433等进行转发,这样的话我们就可以间接地再来控制315或者Wifi的东西来控制红外,我可以远程地帮他调高空调,或者远程地帮他打开电视换频道。
Livers: 前面都是讲的一些比较传统的,可能稍微有些科普了,这里我讲一些最近比较火的一些,主要是Wifi上的一些东西。传统的Wifi,就是物联网主要基于AP模式去,那些是各种包括传统的破解密码就可以了。
Livers: 但是后面一些单品延用了一些新的技术,叫做闪联技术。我之前买过一些闪联设备的插座,我第一次配置的时候完全震惊到了,我直接输入Wifi就可以直接连入互联网,我当时还奇怪,我用的苹果,它怎么可以控制我切换网络呢?
Livers: 所以我就觉得这个东西非常好玩儿,然后去研究它。等我理清了它的传输方法之后,我完全被它震撼到了。
Livers: 它的过程其实比较简单,它的芯片刚开始的时候,它把它的网卡设为混杂模式,然后监听网络中所有的报文,像手机端配置帐号还有密码,它可以通过自定义算法把它编到数据包中,它接收了这些直接通过长度的算法,可以把传送的帐号还有密码给解码出来。
Livers: 所以这个就非常好玩儿了,攻击者可以同样的也开一个网卡监听,掌握编码规则,就是你怎么解码的我也怎么解码,我可以在旁边SNIF解密到你加的Wifi帐号密码,它的编码稍微麻烦,都是易位操作,来减少CPU的预算。
Livers: 这个问题之前老外研究者也提到过,他们做了一些收复方案,再传输的时候用UES加密然后再传输,但是AESK是直接硬编码到芯片里面的,所以用户输的时候每次都要输比较长的AESK。所以比以前更麻烦了。
Livers: 前面是传输密钥,到了后面有一些其他的东西,就是通过Wifi进行传递。我又研究了一下它的插座,它的插座协议做的太不安全了,我可以直接伪造它的协议进行重放。
Livers: 我分析了一下它的协议,它发了ulink数据报,然后指令,后面是它的六个字节,再到后面是Link空格,最后是操作指令,然后是开关,它也会进行验证,就是发送一个本身的密码,是默认的888,这样的话攻击者完全可以远程控制它的插座,就是理解了它的流程。
Livers: 攻击者伪造它的MIKE,加密码发送到云端,云端再回击攻击者一个包,攻击者再发射到云端,就可以控制你的设备。
Livers: 后面是蓝牙快速融入到物联网当中,它也推出了4.0,就是低速率的传输协议,但是因为安卓好像是4.3支持了这个协议,但是对协议站的实现却存在着一些缺陷,大家可以看到蓝牙连接设备往主机发送通知包的时候没有验证LES长度,结果导致了溢出。
Livers: 我之前写过类似这样的程序,我之前接收一些游戏的数据包,大部分游戏数据包是四个字体,但是突然发一个空的过来,我的整个对站都跑飞了,调了一天才调好,所以这就非常感同身受。
Livers: 再者,讲一些国外经常用的频段协议。在美国可能就是有80%都用的ZWAVE,它在密钥传输的时候有问题,它分了三个层:路由层、安全层和应用层。路由层在密钥传输的时候有缺陷,就是中间人可以直接劫持,大家可以看这里,这相当于协议来回收发的过程包。
Livers: 它的设备为了组网方便,会在内部初始化一个16个0的初始密钥,但这个密钥,每个设备都一样,所以我在和设备建立加密通信的时候,中间人可以劫持两端,然后用初始化密钥把它发送的K给解密出来,然后通过这个K解密到它的一些通信。
Livers: 之前Blackset上也有人发现,就是去年发现了一个实例,它和前面不太一样,它的设备在恢复出厂模式的情况下,它没有检查当前的密钥就直接恢复了,导致攻击者可以伪造密钥建立连接。
Livers: 最后讲一下云端方面。这个我在乌云上也提交了,就是云端和客户端两个协议相结合,综合利用可能会造成更大规模的事件。它的云端存在一些Web上的漏洞,可以直接控制到权限,而且它的权限比较大,是直接Root权限。
Livers:
Livers: 我前面把协议分析清楚,有很多东西就可以远程控制它的设备。它的云端几乎就把设备上所有的信息全部存储,而且云端上还有DIBAT模式,它可以直接升级固件,甚至黑客可以直接编一个固件,然后升级到你的设备当中,而一直远程监控你。
Livers: 可能这次题目选的不好,选的太大,很多细节的东西没法儿仔细去讲,前面的演讲就大致这些。这里我总结一下,传统的类似315、433的设备,安全性非常差的,越来越会出现这个设备的单体,它的安全问题会日益改善,像闪联的技术更多的采用到新的设备当中,我希望相关的一些厂商在追求新技术的同时,也要兼顾下安全。
Livers: 最后,向大家宣传一下,希望大家多多关注乌云等等。谢谢。
主持人: 谢谢。我看他的短片里直接有劫持监控的录像,那个大家应该可以看懂吧,这个危害还是挺大的。我还听到他说他可以控制整栋大楼的智能设备,所以议题对大家来说有点生疏。下面进入茶歇时间。
乌云主站负责人 : 我中间跟一位朋友沟通,他新买的房子,家居进入的时候已经智能化了,所以我们在峰会上抛出的一个隐患,家庭安全上的风险。因为有些人没懂“场里捞”发的意义是什么?它由两部分构成:一个是Wifi信息的劫持,一个伪造的Wifi,另一部分是GSM协议的缺陷,导致短信的嗅探。
乌云主站负责人 : 大家可以在屏幕上看到现场互动的数据,比如登录微博一些网页的帐号密码,还有一些我们刷微博或者看网页时传出的信息。还有大家看到了一些短信,这个短信,大家也知道,十一快到了,买票,这个可能会看到大家购票的短信。
主持人: 大家老是听Wifi不安全什么,所以今天就是带大家感受一下。
主持人: 接下来进入下一个议题,由乌云的白帽子,就是大家熟悉的二哥来跟大家分享。
Gainover: 我今天讲的东西,XSS是一个非常古老的漏洞,但是在互联网里还是普遍存在的。我今天给大家看一看,为什么说它普遍存在,是存在什么样的程度?大家看到这个标题,一个被忽略的漏洞,到XSS僵尸网络。看似很严肃的标题。
Gainover: 我实际上是一个不严肃的人,我是一个喜欢卖萌的人。我来过两次北京,上次路过北京天安门,但是我是在天安门地铁下面,所以我天安门也没看到就回去了,我来是为了一个会议,这个会议叫做中国细胞生物学大会。
Gainover: 大家认识我的以为我是搞计算机的,实际上我是一个生物研究工作者。当然,你不要问我,转基因到底有没有危害?这个其实我也不是很好明确地回答你们。但是你们可以问我,XSS漏洞是什么?
Gainover: 这个东西我不会多讲,我可以简单地说一下,当你浏览一个正常页面的时候,如果这个正常页面能够被攻击者在里面插入恶意代码,来执行他们目的的话,我们可以说这个页面存在XSS漏洞。
Gainover: 这个可以是网站本身的代码问题,也可以是用来渲染这个浏览器本身存在的问题,都可以导致XSS漏洞。什么是XSS漏洞挖掘呢?就是你想办法把网页插到别人的网页中去。今天的关注点在XSS漏洞利用上,这个在乌云上有很多案例了,大家平时用的最多的,用XSS来窃取客户的Cookies,这个在乌云推出来一个XSS漏洞利用平台,这个攻击实际上被推到了顶峰。
Gainover: 后来有一些厂商,百度后来把这个机制加上,用来缓解XSS漏洞利用方式。乌云还有一个导致XSS漏洞利用,叫XSS盲导。这点由于简单粗暴的方式,也导致大家把这个发挥到极致了。还有三类,我用红色图标给标出来的,也是将XSS危害发挥到极致的方式了。
Gainover: 大家听说过XSS是蠕虫,它会放大的,有了XSS蠕虫,像微博,百度贴吧,都发生过这个蠕虫案例的。我在这里说一下,黑客可能发一条微博,这个链接里会有恶意代码,当客户点击黑客发布的内容或者链接之后的话,这个代码会让用户自己也发条微博,这里同样也会发这个恶意代码。
Gainover: 这样的话,含有恶意代码的微博会呈现几何级增长的,所以可以在很短时间内得到很大的爆发量,这对社交网络来说是危害很大的攻击方式。
Gainover: 另外,XSS分布式服务攻击,这个一直是停留在概念上的东西,这段时间有一个实际案例,就是利用搜狐视频漏洞进行攻击,这是老外先报出来的,国外媒体也纷纷报道了。
Gainover: 这个实际上,黑客在大的网站,像搜狐视频网站里去插入这样一个恶意代码,当用户访问大流量网站,比如在观看视频的时候,用户浏览器会自动执行黑客命令,黑客命令可能会向他所要攻击的目标网站,一秒钟发出请求,搜狐有十万客户观看这个视频的话,就呈几何级的增长,这样使目标网站停止服务了。
Gainover: 这个案例也是我们团队发在乌云上的一个案例,这叫水坑攻击,这个在XSS,我们现在把这个概念结合起来了,恩为什么叫水坑攻击?就是有时候我们要去攻击某个目标的话,实际上是你很难接触到它的,在这个时间里,比如说李开复,我们想去给李开复发一个链接,都很难直接发的,我们不知道他的联系方式什么的,想直接攻击他是不可能的,但是我们是可以知道李开复会去上36k的,我们可以在这里植入XSS,在我们等四天之后,李开复中了我们XSS,我们当时结合QQ的漏洞,就是让李开复关注了乌云漏洞报告平台,在这个过程中不光李开复受到影响了,还有其他的,只要经常上36K的,36K只是其中一个网站,我们还会在很多网站上插入这个XSS。为什么叫水坑攻击?
Gainover: 比如你在大草原的话,比如说我是狮子的话,我想找猎物,但是大草原太大了,我哪里去找呢?但是动物都喝水,我就蹲在水坑等着,等动物来喝水我就把它捉到了。
Gainover: 大家要注意这个漏洞有一个特点,第一个,实际上我们在36K插入XSS的话,实际上并不是36K本身网站的漏洞,它本身网站我们也没去找,是因为36K在当时用了第三方的评论插件,我忘了叫什么名字了,这个插件本身是有漏洞,我们可以往里插恶意代码,这样的话在36K在第三方评论插件劫持了QQ漏洞,然后使李开复关注了乌云漏洞平台。
Gainover: 实际上36K对我们一点用没有用,我们要劫持的是QQ的信息。
Gainover: 虽然说我前面讲了XSS利用方式有这些,可能还有其他方式,我这里没有提及。厂商和攻击者对XSS分别是什么样的态度呢?实际上XSS漏洞相比传统的,它的危害确实要小很多,对于一些厂商来说的话,特别是国内的一些厂商,这种类型的漏洞就像牛皮癣一样,清都清不完,它一直存在。厂商有的时候要么修,要么有的觉得域名不重要就不修了。
Gainover: 对攻击者来说,实际上XSS可以干很多事情,首先,可以获取个人信息,这个待会儿我要给大家演示的。
Gainover: 第二个,XSS是用来伪造钓鱼页面,实际上我平时身边也有人在淘宝上买东西,别人告诉他退款,让他输入银行帐号密码什么的,可能前面装的很像,但是容易露馅的就是发来乱七八糟的域名,就让人警觉。如果配合XSS漏洞的话,在域名或者页面上很难判断是页面自己的还是黑客构造出来的,这对用户来说很难区分出来的。
Gainover: 这个黑色产业已经在这样做了,在乌云上有一个实际案例,就是利用搜狗拼音来钓鱼的案例。
Gainover: 现在是应题了,叫一个被忽略的漏洞。这个漏洞是在2013年发布出来的,叫优库分站一个存储型XSS漏洞。这个漏洞是被优酷忽略的,这个漏洞不光危害是高,而且很高。这个是发漏洞的一个截图证明,在这上面确实很难看出来危害,无法就是优酷的一个视频里面有一个XSS,可以弹出这样一个框框,就是不能直接看出它的危害。
Gainover: 后来这个危害还被忽略了,也公开了,包括我现在还在讲,这个漏洞还没被修。为什么会被忽略,这个是我不能理解的。首先我猜,难道是因为存在缺陷的域名不是优酷自己的域名。
Gainover: 实际上,XSS影响域名的话,大家可以看到,它确实是优酷.com,至少从影响的域名来看的话是应该被修的,而不是被忽略的漏洞。第二,哪怕你是第三方文件导致自身的域名,不是你自己文件下的,为什么没有通知第三方来修,这也是我不能理解的。漏洞被忽略之后会有什么后果?
Gainover: 现在我们就一起来看一下,这个忽略了一年多的漏洞到底是什么后果呢?大家看到我打开优酷,这个说明首页上就可以执行恶意代码,不光是优酷,土豆也一样,这是我测试的时候的提示,酷6也是一样,这是曾经出过漏洞的搜狐视频,也是一样,也就是说,用户只要曾经访问过我们恶意构造的页面,之后不管他看哪个页面都会执行我们恶意代码的。也就是说,这些视频网站都受影响的。
Gainover: 问题一,到底有多少个网站会受到这个漏洞的影响?我们看一下,我们在某些网站上,就像我刚才在36K评论一样,在上面插一些XSS,用户在路过36K的时候就会被我们感染了刚才那个漏洞代码,接下来他去看优酷视频或者其他视频网站的时候,就会执行我们这个恶意代码。
Gainover: 大家知道,有很多网站会调用优酷网或者其他网站,这样它们也是很大的受害群体。为了研究到底有多少网站受到漏洞影响?我们是做这样的实验,我和我们团队的人一起来做这样的测试,我们找了一些网站,这个网站被我们拿来做测试,表示抱歉,但这个也没办法。
Gainover: 我们在这里插入XSS五之后,我们开始看这个,它们被我们感染恶意代码,它们访问用户的时候或者其他网站的时候,我们恶意代码会让它们去调用我们一个我们指定的网站,在访问日志里会记录这些用户在哪些网站访问到我们的。我们统计结果是什么样的?
Gainover: 这是在一段时间内统计的,我们一共得到了2.39G的访问日志,所有的受害者向我们指定的发送了9513830次请求,我们在请求里访问来源以后一共有2831个域名受影响。我们取了前20名,第一名是优酷,第二个是车的网站,SCAR,包括360也受牵连了在里面,还有其他的,还有我没见过域名的网站,这些都是被统计出来的。
Gainover: 问题二,对XSS不了解或者不理解它的危害,可能看我之前的视频,弹个OK,弹个OK,到底有什么用呢?
Gainover: 我给大家看一下,怎么从OK,到真实数据的泄漏,会泄漏什么数据,黑客会获得什么数据,我们看一个视频,大家在生活中,对普通网民来说用的就是QQ,大家也比较关心QQ上面的数据,而且了解我的,知道我喜欢黑腾讯,所以我来拿它做演示。
Gainover: 现在黑客把代码改成真实的代码了,我就像刚才那样打开页面,我正在看QQ空间,这个是大家正常浏览,但是没有想到的是内容更新了,然后我去上优酷网,大家可以看到这个时候恶意代码已经被执行了,这都是模拟大家在做的操作,最后我们来看看黑客这边得到了什么?
Gainover: 大家可以看到,我用自己QQ做的测试,这里访问了优酷之后,你QQ所有好友被发送到黑客这边,这个只是拿好友数据做掩饰,可能其他数据也会因此而泄漏。
Gainover: 我们拿优酷做演示,就是你曾经访问了我恶意构造的网页后,你去看某些视频网站,你的信息都是会被发送到我这边的,而且更关键的是,这个东西只要你不清理它,它一直存在在你电脑上的,总有一天你会上钩的。
Gainover: 就这样完了吗?当然不止这些危害,这个不仅仅是个漏洞,这是我2013年10月24号我在漏洞下面做的一个评论,我是这么说的,问题很隐蔽,这个开发人员肯定是注意不到的,只要是有这么用的,估计都会存在问题。这是当时我在漏洞下面做的评论。
Gainover: 后来的话,我看还存在哪些问题?我们看一下乌云已经公开的案例,实际上这三个漏洞的话,与我多少都有点关系,不管是马甲还是间接报告,还是怎么样的,实际上我发了这个之后还是没有引起太多各大企业的注意。第一,全部博客可留后门。
Gainover: 你只要你是新浪博客用户,不管你以后访问新浪博客任意文件,都会执行我这个恶意代码的。第二个,淘宝支付宝的,这个叫一个可大规模悄无声息窃取淘宝支付宝帐号的。这个标题看起来很大,但是实际上一点都不危言耸听的。
Gainover: 这些企业不知道自查周期比较长还是怎么样的,同样的漏洞在阿里云服务上一样存在的,后来也被报告修复了。现在我看了一下,淘宝相关的页面上,同等类型漏洞都已经做了相应保护措施了,他们已经意识到这个漏洞危害的严重性了。
Gainover: 其实我今天给大家讲的,就是说漏洞这块东西,就说到这里。我标题还有后半部分,叫XSS僵尸网络。这个东西敢这么说的话,是有一定漏洞基础的,是因为这个漏洞本身特点决定,它是可以用来做这个东西的。首先,隐蔽性。
Gainover: 为什么说它隐蔽?这个漏洞本身特点,你想想,对于一个用户来说,可能很多用户对钓鱼网站网址都分不清楚的,你让他在页面来看原代码,看它上面是不是存在恶意代码,这是根本没可能的。
Gainover: 第二个,传统的杀毒软件,它是很难去防这类攻击的,这个东西对于软件来说,至少很难有办法去区分,是XSS,还是这个网站本身的。所以对用户这一层的话,用户是很难去发觉他们是已经中招的了。
Gainover: 哪怕我自己搞这方面的,如果不专门看的话,我自己很难察觉,所以我也自己也很担心这类漏洞。这个对厂商来说,这与传统的漏洞不太一样的,传统的是在页面里插一段代码,你接到报告说这个页面有问题,厂商查的话,发现这里黑客插了一段代码。
Gainover: 但是对XSS来说,这个漏洞是存在用户电脑本地存储上的,用户觉得页面有问题,让厂商去查,厂商去看页面完全没有任何问题,然后就不再过去了。这样的话不管是最用户还是厂商来说,这种类型的漏洞隐蔽性是特别好的。
Gainover: 第二个,持久性。这是一个长期存在用户电脑上的,这个漏洞原理也是发过的,大家可以看看,它用Flash本地存储,如果你不是自己去清Flash Cookies的话是很难清掉的。
Gainover: 我记得360软件Flash Cookies是勾上的,以前我看安全卫士软件的话,Flash Cookies是不勾上的,就是用户清理垃圾什么的,不会清理掉这些垃圾,这样的话,这个东西就是在用户电脑上长期存在。
Gainover: 另外的话,那些软件去来清理这些东西,它就是找到浏览器默认的Flash Cookies存放目录对它清除。我现在不知道第三方有没有清除这个,如果没有我建议以后可以做上。如果没有的话,这个后果很严重的,按照我前面演示,如果这次没有打开网页或者QQ空间不会被窃取,但总有一天你会被窃取。
Gainover: 第三,流量大。大家可以看到这种类型的漏洞影响到了,基本上是全国所有视频网站,当然有些网站没有用那个代码的话就没有。
Gainover: 第二个,电商类的也是受影响的,虽然现在都修了。第三个,新浪微博也是受影响的,这也是大流量的社交网站。所以说这个受影响的用户量是非常大的。
Gainover: 其次,用户页面时间停留长,大家可以看到,特别是对于视频网站来说,它的用户基本上都在看视频,一个小时、两个小时,恶意代码就会在那里被执行一个小时、两个小时,这样黑客利用代码可以获得很长执行时间的,这为后面的攻击是能够提供很大的帮助的。
Gainover: 最后,基于这些特点的话,这跟前面原理差不多的,我们可以看到,黑客首先做一个感染阶段,它首先找一些比较好入侵的,或者有漏洞的中小型的网站去入侵,入侵了之后就在里面插入这样一个XSS代码,因为这些中小型网站它在上面用户Cookies有什么用啊,一点用没有,所以黑客不会偷这个,它的目的是植入后续的XSS,接着这些FLash XSS在感染到足够用户数量之后,我们可以让FLash XSS执行黑客的操作,最简单的就是信息窃取,当感染数量达到一百万的时候,我假设里面只有1%的用户,比方说他先看QQ空间,再看网站的话,就会有一万人的数据窃取,这可能只是一天的数据,如果是一个月呢?一年呢?
Gainover: 因为这个漏洞不宜被发现,不易被清理,所以这个积累到一年的话危害是非常大的。而且这些受害者,在看视频的时候,他的浏览器可以被黑客做一些事情的。当然,这个还会有其他的利用方式,这个就要发挥想象力了。所以我这里总结了一下,这种类型的做僵尸网络的话,首先感染阶段,然后是执行阶段,从危害上来说的话,我觉得影响几乎全国所有网站的。下面可以进行提问。
主持人: 二哥讲的XSS很好,由浅入深,看视频的时候,我看大家都很激动,说XSS的话我也算跟XSS挺有缘,也一年也是PPTV团队让我配合做一个视频,其实说真的,他当时其实告诉我了,如果他不告诉我,我不会觉得那个有问题,是一个QQ的,那会儿就会有很多人嘲笑我,你又被钓鱼了怎么了。
主持人: XSS可能你自己有些厂商对不怎么熟悉,自己看的话看不到什么影响,觉得它就是一个小问题,不值得修补什么的,但是实际上二哥讲的,他讲的一个案例,就是之前在乌云上被忽略的一个漏洞,因为乌云上漏洞都是会先通知厂商,让厂商去修补,但是厂商可能没注意,导致一大批视频网站也跟着被连累,所以以后还是得注意一下,不管什么样的漏洞,漏洞的价值不是它的技术点或者一些其他东西,而是怎么去利用,感谢二哥的分享。
乌云主站负责人 : 今天上午的议题是很巧妙的安排,我们知道互联网有两大入口:第一是PC,PC上的浏览器,这个就是二哥讲的浏览器上种种的问题。
乌云主站负责人 : 第二个是手机移动端。其实我们接下来的议题就是茄子给我们贡献的移动端种种的安全隐患,特别是现在正在用安卓手机的各位你们要仔细听。
茄子: 非常感谢乌云给我们这么一个平台,分享这些,对大家有益的攻防的东西。我今天讲的议题是细数安卓WebView的那些神洞。WebView是安全中常用的组件,这个组件的功能是导入一些网页的浏览,像常用的微博、微信,还有手机来装的所有的APP和核心的浏览器,都是用的这个组件。
茄子: 我自我介绍一下,我和剑心认识有七年了,还有疯狗,我们是比较好的朋友。我是2007年在360工作,也有七年的安全从业经验,之前一直做的是Web安全。
茄子: Web安全做了三年之后,开始做浏览器安全,曾经也获得过微软的致谢。从2013年我开始做安卓安全,就是移动安全这块。
茄子: 首先我有一个引子,就是2012年9月12号Google官方公布的一些漏洞公告。这修复了很多APP的,它只修复了APP漏洞,但是并没修复安卓的问题,这个漏洞可能有一些大家背后不知道的秘密,两年后,正好今天是一个非常巧合的日子,9月12号,也是两年这个时间我们来看Google对它安卓系统做了什么样的修复。
茄子: 第一各问题是,Google在APP中内置了XSS漏洞,它是通用XSS漏洞。安卓系统版本4.4中都有通用的XSS漏洞,我这里列出了五到六个,实际上全部公开的至少有几百个。
茄子: 我了一个BUG的号是37383,这个漏洞是前段时间乌云网站上炒作的漏洞,应该说这个漏洞实际上影响了安卓4.4以上所有的手机,包括4.3,2.3,就是大家常用的安卓的系统。
茄子: 实际上这个漏洞就是我说的两年前9月12号的时候,Google在自己项目中把yp的漏洞修复了,修复了大家可以看到我这个红框的修复,它是把字符串做了相过滤。
茄子: 如果大家是企业商品人员,上线前肯定要做一些测试,实际上这个项目是内置于一个QA的测试用秘,大家可以看到这个字符串是空白的。
茄子: 我这里有一个演示,来看这个能在大家的安卓手机中导致什么样的危害。我点我的QQ空间说说,在57分的时候没有进行任何说说,但是进入UX页面,在这里出了一个脚本运行,然后我再进入我的说说,会我说说全自动发了一条留言。
茄子: 打开这个链接会进行测试页面,我的私信会自动发送。 刚才可以看到我们常用的QQ和微信,实际上是社交化的软件,如果朋友给你发链接你点击后会被劫持。这个漏洞我给大家的安全建议,就是大家如果是4.4以下的手机,赶紧把手机升级到4.4。给QQ或者微博这种使用Web的建议在APP中不相关业务的分离。
茄子: 下一个我要讲的是Google在APP中内设的远程代码漏洞,刚才案例可以看到Google是非常不负责任的企业。第二个案例更可恶,刚才我第一页说的,两年前的9月12号Google修复了自己其中的一个漏洞,这个漏洞价值500美元,这个漏洞是日本的一个安全研究者发布的。
茄子: Google为了修复这个漏洞,因为这个漏洞分节点是安卓的4.1版本,这个版本中有内置的加速化切口,也就是你的APP没开发这个接口,但是你用了WebView这个组件,在安全4.1及其以下的都会接入这个。
茄子: 在4.1这个版本也是4.2开始,Google在安卓系统中增加一个特性,可以防止这个漏洞反射注入的行为,实际上就是屏蔽掉了代码输入的漏洞,但是这个东西是用安卓的非常严重,每个APP编辑开发者编辑的时候会选择你的兼容性,比如我当前编辑的是大于等于17,Ok,你加入的话,你的APP在4.2以及以上是不存在漏洞的,但是这会存在很严重的兼容性的问题,也就是你的安卓在4.2及其以下运行,也会存在远程代码执行漏洞。
茄子: 到底Google对这两年前系统漏洞怎么修复的?它太不负责任了,Google到4.4这个版本才彻底屏蔽了这个问题,就是不管你APP编程是多少,到这个系统上运行你的远程代码漏洞没有,否则的话在4.4以下任意机器上去有这么一个开发的话,都会存在远程执行漏洞。WebView漏洞是做什么呢?
茄子: 实际上它就像PC端流行的那样,它可以做到和PC端上挂码的效果是一样的,但是安卓分很多传感器,分很多功能,我们可以操作安卓应用层代码去执行命令,发短信,打电话,获取GPS,任意手机上手工操作的功能都能实现,在实现这些功能之前,如果下面有安卓的开发者应该知道,要操作这个功能是要获取到APP的CONTAX。
茄子: 获取这个是导入LEI,然后获取到APP的CONTAX,然后调取APP任意层的功能,就是自己编一些代码,但是这里会存在一些坑儿。
茄子: 下面演示一下这个在小米三上是怎样的。这台机器是小米三的最新版,实际上之前报告这个漏洞,现在应该不是最新版了。
茄子: 我在远程监听的端口,我用小米内置浏览器打开一个网页,网页会发送一个意图,实际上是打开了一个漏洞的APP组件,它执行代码成功反弹的一个,当然这个是在APP上呈现,当我下载一个给它权限去执行,我们知道,拿到ROOT权限想做什么就做什么了。
茄子: 实际上,我说了,第二个漏洞希望企业的一些开发者有自己的一些想法,就是不要在滥用一些英特尔加FACE。除了这两个漏洞之外,Google在两年前9月12号还修复了安卓一个漏洞,如果你使用了WebView这个组件,它在默认设置时会使你本地隐私信息泄露的漏洞。
茄子: 这有一个实际案例,像淘宝,其实很简单,我把刚才的过程的代码换了。
茄子: 我的建议是你加上本地协议地址的时候,必须重定空白页。我今天要讲的WebView最后一个漏洞,它是安卓签名漏洞。
茄子: 我给大家演示一下,用这个漏洞去攻击微信的APP,现在我打开微信的APP,假设我现在点击了微信中的一个消息的网页,这个网页会显示我没有安装的插件,现在我给我的手机安装了一个Flash插件,我截取这个信息,我会往微信APP注入了一个软件,大家看戏Flash认出来了,我现在拿到的权限实际上是微信APP的权限,我现在有一个漏洞可以绕过权限去拨打10086的电话,现在我已经远程控制手机拨打10086成功。实际上这个漏洞要怎么修复?
茄子: 也很简单,开发者在开发APP时候强制去掉插件支持,如果是2.3以上系统可以设Off状态以后,就不会随意支持恶意插件或者Flash插件。
主持人: 感谢分享。今天早上的议题就到这里,下面是午餐时间。
51CTO直播小组: 上午的议题全部结束,下午14:0051CTO将继续为您奉上更为精彩的内容!
主持人: 下午的议题开始了。下面的议题是我们的神秘嘉宾,很多人可能猜到了神秘嘉宾是谁,他今天带来的议题,我先不说,咱们看他讲完了你自己去领会吧。我之前在写主持稿的时候,我要不要把他写成是乌云最帅的人,我没见过他。
主持人: 下午的议题开始了。下面的议题是我们的神秘嘉宾,很多人可能猜到了神秘嘉宾是谁,他今天带来的议题,我先不说,咱们看他讲完了你自己去领会吧。我之前在写主持稿的时候,我要不要把他写成是乌云最帅的人,我没见过他。
主持人: 我当时那个帅字不是对外貌的描述,而是对能力的描述,我见过他后,我觉得他真的是乌云最帅的人。你们先听一下他的议题,有不服气的再跟他挑战,好吗?现在有请神秘嘉宾猪猪侠。
猪猪侠: 这个其实还是有点紧张的,大家下午好。非常高兴有机会在这里和大家分享一个关于自动化攻击的议题。这个议题主要会从过去、现在、未来三个不同的时间跨度来介绍各自背景下的攻击的发展状况。
猪猪侠: 议题一,会引用到我经常用的做实例,附带讲几个小研究,还会披露安全现状,也希望使大家的安全意识提升那么一丁点儿。我先做一下调查,在座的有谁是在甲方的?有在乙方做安全研究的?有多少人是做开发的?这么少人,其他的人是干吗的?
猪猪侠: 我先介绍一下,在乌云ID上的猪猪侠是我的昵称,有八年的从业经历,擅长Web安全,数据挖掘。我的微博就是这个,会后有什么问题的话可以发私信给我。
猪猪侠: 开始议题之前,我想讲一下我的安全观。今天我们大谈信息安全的时候肯定都离不开互联网,互联网到底是什么呢?我理解的互联网就是信息。信息做什么用?信息的一个用处就是交换。所以可以用八个字总结互联网,就是连接彼此,交换信息。
猪猪侠: 而互联网下的信息安全就是保护信息在交换、传递过程中的完整性、可用性和保密性。因为互联网的特性是无时无刻都在发起连接和请求,所以黑客在选择攻击对象的时候不会在意你是谁,而是你有没有与目标系统进行信息交换,或者间接对目标系统发起连接的请求。
猪猪侠: 也就是说,如果耦合度越高的系统,也就是关联程度越高的系统,被攻击的可能性越大。有时候可能某个公司由于单个系统存在某个安全缺陷或者是用户帐号存在一个微弱的问题,都会导致整个网络被入侵。
猪猪侠: 更深入一点去了解互联网的话我们会发现,信息传递的客体对象,社会信息背后的属性都和人有关。说到人,因为在中国是没有良好的信息安全培训,就是安全培训机制的,就是普通网民安全意识还是比较低的。更重要的是有些人的愚蠢根本就没有补丁可打。这个是近年来很典型的APT案例,会发现,其中有一半,70%以上最终问题都出在人的身上。
猪猪侠: 2003年、2004年那个时候我刚如行,当时是IS和ASP的天下,记得那个时候,当时只要手上有每小时旁注的工具有可以做到想黑哪里黑哪里。那个时候比较流行的WEB程序是动议和动网,就是有天动网报出一个信息的时候,你黑动网的话来找到攻击目标,找到论坛就找出管理员的密码。
猪猪侠: 从现在看过去的玖,以前的工具来来去去就那么几个,还都是图形界面的,如果想用脚本调用的话根本没法儿调用。所以那个时候的工具流程都是很简单的一步一步,没有什么新意。过去可以总结成一个《三字经》,无非就是:进谷歌,找记录,没记录,找旁注,没旁注,猜目录,没目录,就嗅探,找后台,穷枚举,传小马,放大马,偷密码,挂页面,提权限,扫内网。个人感觉现在要攻击一个网站是越来越容易,我一直都想实现一个扫描器,只要你点一下鼠标就会黑下一堆服务器,直到我用上了一哥一整套分布式扫描框架之后,再套上一点脚本,这个想法就实现了。
猪猪侠: 就开始可以点一下鼠标黑一堆服务器。先讲一下这个扫描器的特点,先用模块化高可扩展,系统、服务、组件指纹标准化入库,高覆盖率,重新定义网络边界。
猪猪侠: 这里是整个扫描器的控制台,被红色框起来的是信息搜集模块,右边是扫描主机的管理模块,就是你只要把主机添加,设置好它的IP,然后设置好进程点保存,扫描任务就会分发下去。
猪猪侠: 黄色那块是任务管理模块,主要是用来添加扫描任务的,然后还可以查看扫描节点的完成状态。完成框里面主要是漏洞利用模块,可以用来配置一些Web下的识别规则或者管理一些漏洞管理代码或者测试脚本。大致上整个扫描器的结构就是这样,接下来我会逐个介绍里面的一个一个功能。
猪猪侠: 先讲一下流程,就是你添加一个目标,然后会有脚本自动分析这个目标,目标可以是IP段也可以是一个域名,目标分解后会有信息分析脚本去做全面扫描,把系统、网络或者网站的信息全部放到数据库里,接下来漏洞利用脚本选择适合自己条件的目标进行测试,验证后是否存在,如果存在的话会返回结果到数据库。
猪猪侠: 使用扫描器之前需要给扫描器设置一个目标,这里只要填写一个你想扫描的IP,然后截出IP,设置好扫描参数以后,看这个参数和MIKE很像,因为后台就用的MIKE,设置好这几个信息之后点保存,整个扫描任务就会开始,然后你要做的就是等待扫描器返回漏洞结果。
猪猪侠: 这里就是把域名当做扫描目标,如果你想黑乌云的话,你只要把乌云域名打上,点保存,它自动就会去黑乌云了,后台的大致工作流程,第一步,它会检查一下这个域名有没有存在DNS预漏洞,如果存在的话就会自动利用那些信息。
猪猪侠: 如果不存在,就会利用定义好的去穷检域名,还会有一个脚本去在Google上爬,就采集乌云底下的二级域名,搜集完这些域名之后,接着会有对
乌云峰会直播
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文